Esta breve guía explica cómo cambiar el archivo de registro sudo predeterminado en distribuciones de Linux como Debian, Ubuntu, CentOS, Fedora y openSUSE.
¿Por qué deberíamos cambiar el archivo de registro de sudo predeterminado? Usted podría preguntarse. De forma predeterminada, todos los incidentes de sudo se registrarán en /var/log/auth.log archivo en sistemas basados en Debian como Ubuntu. En sistemas basados en RPM como CentOS y Fedora, las actividades de sudo se almacenan en /var/log/secure/ expediente. En openSUSE, los registros de sudo se almacenan en /var/log/messages expediente. Sin embargo, no están dedicados a los registros de sudo. Si observa esos archivos, notará que hay otros tipos de registros, como cron, ssh, systemd, etc., también almacenados en ellos. Entonces, si desea configurar un archivo dedicado para registrar intentos de sudo exitosos y fallidos (así como errores), siga los pasos que se detallan a continuación.
Cambiar el archivo de registro sudo predeterminado en Linux
Por defecto, sudo iniciará sesión a través de syslog , pero esto se puede cambiar a través de "/etc/sudoers" expediente. Primero, veremos cómo hacerlo en sistemas basados en Debian.
1. Cómo cambiar el archivo de registro de Sudo predeterminado en Ubuntu
En Ubuntu, las actividades de sudo se almacenan en /var/log/auth.log archivo.
Para cambiar o configurar un archivo de registro dedicado para sudo en Ubuntu 20.04, edite el archivo "/etc/sudoers" usando el comando:
$ sudo visudo
Agregue la siguiente línea al final:
Defaults syslog=local1
Establecer la ubicación del archivo de registro de Sudo en Debian, Ubuntu
Presiona CTRL+X seguido de Y para guardar y salir del archivo.
A continuación, edite el archivo "/etc/rsyslog.d/50-default.conf":
$ sudo nano /etc/rsyslog.d/50-default.conf
Agregue la siguiente línea (línea número 8) marcada en color rojo antes de la línea "auth,authpriv.*".
[...] local1.* /var/log/sudo.log auth,authpriv.* /var/log/auth.log [...]
Cambiar la ubicación del archivo de registro de Sudo en Debian, Ubuntu
Aquí, /var/log/sudo.log es el archivo donde se almacenarán todos los registros de sudo. Guarde y cierre el archivo (CTRL+X e Y).
Finalmente, reinicie el servicio rsyslog para que los cambios surtan efecto:
$ sudo systemctl restart rsyslog
A partir de ahora, todos los intentos de sudo se registrarán en /var/log/sudo.log expediente. Por ejemplo, voy a ejecutar el siguiente comando:
$ sudo apt update
Ahora déjame verificar si se registra en el archivo /var/log/sudo.log:
$ cat /var/log/sudo.log
Salida de muestra:
May 2 12:14:18 ostechnix sudo: sk : TTY=pts/0 ; PWD=/home/sk ; USER=root ; COMMAND=/usr/bin/apt update
¿Ves la última línea en el resultado anterior? El comando "apt update" se registra en el archivo /var/log/sudo.log.
2. Cómo cambiar el archivo de registro de Sudo predeterminado en Debian
Edite el archivo "/etc/sudoers" en Debian usando el comando:
$ sudo visudo
Agregue la siguiente línea al final:
Defaults syslog=local1
Guarde y cierre el archivo.
A continuación, edite el archivo "/etc/rsyslog.conf":
$ sudo nano /etc/rsyslog.conf
Agregue la siguiente línea (línea número 61) marcada en color rojo antes de la línea "auth,authpriv.*;local1.none".
[...] local1.* /var/log/sudo.log auth,authpriv.*;local1.none /var/log/auth.log [...]
Guarde y cierre el archivo presionando CTRL+X seguido de Y.
Reinicie el servicio rsyslog para aplicar los cambios:
$ sudo systemctl restart rsyslog
A partir de ahora, todos los intentos de sudo se registrarán en /var/log/sudo.log archivo.
3. Cómo cambiar el archivo de registro de Sudo predeterminado en CentOS, Fedora
Los registros de sudo se guardan en el archivo "/var/log/secure" en sistemas basados en RPM como CentOS y Fedora.
Para establecer un archivo de registro de sudo dedicado en CentOS 8, edite el archivo "/etc/sudoers" con el comando:
$ sudo visudo
Este comando abrirá el archivo /etc/sudoers en el editor Vi. Presione "i" para ingresar al modo de inserción y agregue la siguiente línea al final:
[...] Defaults syslog=local1
Presione ESC y escriba :wq para guardar y cerrar.
A continuación, edite el archivo "/etc/rsyslog.conf":
$ sudo nano /etc/rsyslog.conf
Agregue/modifique las siguientes líneas (número de línea 46 y 47):
[...] *.info;mail.none;authpriv.none;cron.none;local1.none /var/log/messages local1.* /var/log/sudo.log [...]
Cambiar la ubicación del archivo de registro de Sudo en CentOS
Presione CTRL+X seguido de Y para guardar y cerrar el archivo.
Reinicie rsyslog para aplicar los cambios.
$ sudo systemctl restart rsyslog
A partir de ahora, todos los intentos de sudo se registrarán en /var/log/sudo.log archivo.
$ sudo cat /var/log/sudo.log
Salida de muestra:
May 3 17:13:26 centos8 sudo[20191]: ostechnix : TTY=pts/0 ; PWD=/home/ostechnix ; USER=root ; COMMAND=/bin/systemctl restart rsyslog May 3 17:13:35 centos8 sudo[20202]: ostechnix : TTY=pts/0 ; PWD=/home/ostechnix ; USER=root ; COMMAND=/bin/systemctl status rsyslog May 3 17:13:51 centos8 sudo[20206]: ostechnix : TTY=pts/0 ; PWD=/home/ostechnix ; USER=root ; COMMAND=/bin/yum update
Ver archivos de registro de sudo en CentOS
4. Cómo cambiar el archivo de registro de Sudo predeterminado en openSUSE
Los registros de sudo se guardan en el archivo "/var/log/messages" en SUSE y openSUSE.
Para establecer un archivo de registro de sudo dedicado en openSUSE, edite el archivo "/etc/sudoers" con el comando:
$ sudo visudo
Este comando abrirá el archivo /etc/sudoers en el editor Vi. Presione "i" para ingresar al modo de inserción y agregue la siguiente línea al final:
[...] Defaults syslog=local1
Presione ESC y escriba :wq para guardar y cerrar.
A continuación, edite el archivo "/etc/rsyslog.conf":
$ sudo nano /etc/rsyslog.conf
Agregue/modifique las siguientes líneas (número de línea 168, 180):
# Add the following line at line number 168: *.*;mail.none;news.none;local1.none -/var/log/messages # line 180: remove [local1] local0.* -/var/log/localmessages # Add this line at the end: local1.* -/var/log/sudo.log
Guarde y cierre el archivo. Reinicie rsyslog para aplicar los cambios:
$ sudo systemctl restart rsyslog
Lectura sugerida:
- Cómo cambiar el tiempo de espera de la contraseña de Sudo en Linux
- Cómo agregar, eliminar y otorgar privilegios de Sudo a los usuarios de Linux
- Cómo restaurar los privilegios de Sudo a un usuario
- Cómo encontrar todos los usuarios de Sudo en su sistema Linux
- Cómo ejecutar comandos particulares sin contraseña Sudo en Linux
Espero que esto ayude.